【正文】 在被動模式下，建立數(shù)據(jù)傳輸連接的方向和建立控制連接的方向是相同的。這個模塊能夠識別出PORT命令，并從中提取端口號。因此，在主動模式下FTP數(shù)據(jù)傳輸通道是反向建立的，它從FTP服務(wù)器端向客戶端發(fā)起。首先，我們需要加載ip_conntrack_ftp模塊。一個重定向ICMP(5)分組不是基于請求/應(yīng)答方式的，因此屬于RELATED。因此，允許ICMP echo請求通過OUTPUT鏈。(4) 地址掩碼請求(17)和應(yīng)答(18)。為了跟蹤一個TCP連接的狀態(tài)，需要使用下面這樣的規(guī)則：iptables A INPUT p tcp m state state ESTABLISHED j ACCEPTiptables A OUTPUT p tcp m state state NEW,ESTABLISHED j ACCEPT用以下的規(guī)則明確新的TCP連接應(yīng)該是SYN分組建立的：iptables A INPUT p tcp ! –syn m state state NEW j DROP這樣可以阻止空會話的繼續(xù)進行。以下的規(guī)則可以產(chǎn)生這類狀態(tài)表項，這兩條規(guī)則只允許向外的UDP連接：iptables A INPUT p udp m state state ESTABLISHED j ACCEPTiptables A OUTPUT p udp m state state NEW,ESTABLISHED j ACCEPT一個TCP連接是通過三次握手的方式完成的。 UDP連接UDP(用戶數(shù)據(jù)包協(xié)議)是一種無狀態(tài)協(xié)議，以為這個協(xié)議沒有序列號。把分組的狀態(tài)和過濾表中的規(guī)則進行匹配，如果分組與所有的規(guī)則都無法匹配，就使用默認(rèn)的規(guī)則進行處理。 這個分組是否要發(fā)起一個新(NEW)的連接。 分組是否匹配狀態(tài)表中的一個已經(jīng)實現(xiàn)(ESTABLISHED)的連接。 iptables的狀態(tài)檢測是如何工作 iptables概述首先大體看一下整個netfilter框架。在進行狀態(tài)檢測之前，需要重組分組的分片。iptables中的狀態(tài)檢測功能是由m state state選項來實現(xiàn)的，state這個模塊能夠跟蹤分組的連接狀態(tài)(即狀態(tài)檢測)。linux本身作為web服務(wù)器ftp服務(wù)器的時候，需要開放相應(yīng)的端口。將來源的tcp協(xié)議包中目的端口redirect到本地端口8080。例3：iptables t nat A POSTROUTING p tcp o eth0 j SNAT tosource :10243200解釋：實現(xiàn)nat網(wǎng)絡(luò)地址轉(zhuǎn)換，將離開接口eth0的包中協(xié)議為tcp，源端口范圍為：10243200。例13：iptables A INPUT p tcp m multiport port 22,53,80,110解釋：匹配tcp協(xié)議頭中源或目的端口號為22,53,80,110的包。例9：iptables A INPUT m mac macsource 00:00:00:00:00:01解釋：匹配源mac地址為00:00:00:00:00:01。例5：iptables p tcp tcpoption 16解釋：匹配設(shè)置了TCP選項值16的。 一般匹配的對應(yīng)擴展（）例1：iptables A INPUT p tcp sport 22：解釋：檢查tcp協(xié)議的包，且源端口在22到65535（缺省）例2：iptables A INPUT p tcp dport 22解釋：檢查tcp協(xié)議的包，且目的端口為22。i選項對INPUT、FORWARD 和PREROUTING鏈有效。協(xié)議可以是icmp、udp和tcp。例10：iptables P INPUT DROP解釋：在指定的鏈中設(shè)定缺省的規(guī)則或目標(biāo)，表示沒有一條規(guī)則匹配的時候，將進行缺省處理。例6：iptables F INPUT解釋：清除指定的INPUT鏈中的所有規(guī)則，如果沒有指定鏈，缺省清除所有鏈中的規(guī)則。例2：iptables D INPUT –p tcp dport 80 j DROP或iptables D INPUT 1解釋：在規(guī)則表INPUT中刪除一條指定的規(guī)則，可以完整的匹配或規(guī)則的位置（如第1條）。參數(shù)t表示保存哪個一個表（table），沒有指定該參數(shù)的時候，命令將自動保存所有表。它包含一個選項：toports port [port]指定使用的目的端口或端口范圍：不指定的話，目標(biāo)端口不會被修改。它有一個選項：toports port [port]指定使用的源端口范圍，覆蓋默認(rèn)的SNAT源地址選擇（見上面）。(8) MASQUERADE只用于nat表的POSTROUTING鏈。如果未指定端口范圍，源端口中512以下的（端口）會被映射為其他的512以下的端口；512到1023之間的端口會被映射為1024以下的，其他端口會被映射為1024或以上。settos tos你可以使用一個數(shù)值型的TOS 值，或者用iptables j TOS h 來查看有效TOS名列表。選項 echoreply也是允許的；它只能用于指定ICMP ping包的規(guī)則中，生成ping的回應(yīng)。只適用于mangle表。如果記錄能被用戶讀取，那么這將存在安全隱患。當(dāng)在規(guī)則中設(shè)置了這一選項后，linux內(nèi)核會通過打印函數(shù)打印一些關(guān)于匹配包的信息（諸如IP包頭字段等）。(9) tos此模塊匹配IP包首部的8位tos（服務(wù)類型）字段。sidowner seessionid根據(jù)給出的會話組匹配該進程產(chǎn)生的包。在INPUT、OUTPUT和POSTROUTING鏈中有效，但是在INPUT鏈中，僅僅TCP和UDP包能夠被匹配。port [port[, port]]若源端口和目的端口相等并與某個給定端口相等，則匹配。(5) multiport 或 mport這個模塊匹配一組源端口或目標(biāo)端口，最多可以指定15個端口。(4) limit這個模塊匹配標(biāo)志用一個標(biāo)記桶過濾器（定速度進行匹配），它能和LOG目標(biāo)結(jié)合使用來給出有限的登陸數(shù)（或到達次數(shù)）。它提供以下選項：icmptype [!] typename這個選項允許指定ICMP類型，可以是一個數(shù)值型的ICMP類型，或者是某個由幫助命令iptables p icmp h所顯示的ICMP類型名。詳見 TCP擴展的sourceport選項說明。這等于 tcpflags SYN, RST, ACK SYN。標(biāo)記如下：SYN、ACK、FIN、RST、URG、PSH、ALL、NONE。destionationport [!] [port:[port]]目標(biāo)端口或端口范圍指定。它提供以下選項：sourceport [!] [port[:port]]指定源端口號或源端口范圍。linenumbers當(dāng)列表顯示規(guī)則時，在每個規(guī)則的前面加上行號，與該規(guī)則在鏈中的位置相對應(yīng)。默認(rèn)情況下，程序試顯示主機名、網(wǎng)絡(luò)名或者服務(wù)（只要可用）。這個選項讓list命令顯示接口地址、規(guī)則選項（如果有）和TOS（Type of Service）掩碼。[!] –f，fragment這意味著在分片的包中，規(guī)則只詢問第二及以后的片。o，outinterface [!][name]這是包經(jīng)由該接口送出的可選的出口名稱，包通過該口輸出（在鏈FORWARD、OUTPUT和POSTROUTING中送出的包）。i，ininterface [!] [name]這是包經(jīng)由該接口接收的可選的入口名稱（即接口名稱），包通過該接口接收（在鏈INPUT、FORWORD和PREROUTING中進入的包）。標(biāo)志 dst 是這個選項的簡寫。mask說明可以是網(wǎng)絡(luò)掩碼或一般的數(shù)字。數(shù)字0相當(dāng)于所有all。 match（匹配具體的規(guī)則，對命令增加、刪除、替換等的rulespecification彌補）p，protocal [!]protocol規(guī)則或者包檢查(待檢查包)的協(xié)議。TARGETS參數(shù)給出一個合法的目標(biāo)。這個鏈必須沒有被引用，如果被引用，在刪除之前你必須刪除或者替換與之有關(guān)的規(guī)則。它可以和 L配合使用，在清空前察看計數(shù)器。精確輸出受其它所給參數(shù)影響。這也是不指定規(guī)則序號時的默認(rèn)方式。如果源（地址）或者/與 目的（地址）被轉(zhuǎn)換為多地址，該命令會失敗。當(dāng)源（地址）或者/與 目的（地址）轉(zhuǎn)換為多個地址時，這條規(guī)則會加到所有可能的地址(組合)后面。 PREROUTING 和 OUTPUT 鏈；，該表支持三個內(nèi)建鏈INPUT (for packets ing into the box itself)、 FORWARD (for altering packets being routed through the box)和 POSTROUTING (for altering packets as they are about to go out)。nat ：用于要轉(zhuǎn)發(fā)（路由）的信息包，要完成該類表的操作，目標(biāo)主要有：DNAT、SNAT、MASQUERADE和REDIRECT。如果到達了一個內(nèi)建的鏈(的末端)，或者遇到內(nèi)建鏈的規(guī)則是RETURN，包的最后處理將由鏈準(zhǔn)則指定的目標(biāo)決定。防火墻的規(guī)則指定所檢查包的特征和目標(biāo)?？梢远x不同的表，每個表都包含幾個內(nèi)部的鏈，也能包含用戶定義的鏈（userdefinechains）。清單 1 給出了一個示例，它指出了安裝該工具所需的命令，其必要的次序及其說明。如果打開這個選項，則會將一個基本過濾表（帶有內(nèi)置的 INPUT、FORWARD 和 OUTPUT 鏈）添加到內(nèi)核空間。下面是可能要打開的其它選項： l CONFIG_PACKET：如果要使應(yīng)用程序和程序直接使用某些網(wǎng)絡(luò)設(shè)備，那么這個選項是有用的。還需要從 下載iptables 這個用戶空間工具，因為這個工具不是內(nèi)核的一部分。(1) 安裝 netfilter/iptables 系統(tǒng)因為 netfilter/iptables 的 netfilter ，通常只需要下載并安裝 iptables 用戶空間工具。iptables組件是一種工具，也稱為用戶空間（user space），它使插入、修改和刪除信息包過濾表中的規(guī)則變得容易。(5) DMZ不能訪問內(nèi)網(wǎng)，對應(yīng)的防火墻腳本片段如下：/sbin/iptables A FORWARD s [DMZ地址] d [內(nèi)網(wǎng)地址] i eth1 j DROP以上命令將丟棄所有從DMZ到內(nèi)網(wǎng)的數(shù)據(jù)包。(3) 外網(wǎng)不能訪問內(nèi)網(wǎng)，對應(yīng)的防火墻腳本片段如下：/sbin/iptables t nat A PREROUTING s [外網(wǎng)地址] d [內(nèi)網(wǎng)地址] i eth0 j DROP以上命令將來自外網(wǎng)、去往內(nèi)網(wǎng)的數(shù)據(jù)包全部丟棄。所以在